要是楼主是靠猜测而找到表示<>的方法的话，那就太神了，估计是SQL注入或者服务器级别的溢出，从而得到WEBSHELL或管理帐户，然后下载他的JAVA字节码文件进行反向分析得到方法的吧？

有玩的了

下面引用由javaxyz在 2004/05/01 02:20pm 发表的内容： 要是楼主是靠猜测而找到表示<>的方法的话，那就太神了，估计是SQL注入或者服务器级别的溢出，从而得到WEBSHELL或管理帐户，然后下载他的JAVA字节码文件进行反向分析得到方法的吧？

看你名字中带java 你应该懂java吧 我不懂java 但我和javascript接触还算多 那个不是靠猜测的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 在javascript里,\x后面接16进制数字,可以转义一切asc字符.... 比如:\x3c 就是 < \x3d 就是 = \x3e 就是 > 想要更多的话 自己 去asc代码表查查 我可记不住这么多 1 1 1 1 1 4月30日上午我向chinaren报告了漏洞的大致情况 但没有提具体细节 30日下午chinaren就作了改动 < 的java转意字符 \x3c 从数据库中掉出时 再转换为 html语言的转意字符< 其他危险字符也作了过滤!!!!!!! 看懂了吗???? 在不同环境 < 可以有不同的表示方法: 60(十进制asc) 111100(二进制asc) 3c(16进制asc) \x3c(java) <(html) (上面的字符如有显示不正确,可能是雷傲作了过滤)

下面引用由lamianbu在 2004/05/02 03:45pm 发表的内容： 看懂了吗???? 在不同环境 < 可以有不同的表示方法: 60(十进制asc) 111100(二进制asc) 3c(16进制asc) \x3c(java) <(html) (上面的字符如有显示不正确,可能是雷傲作了过滤)

刚才正想者html的转意字符你们会看不见的 重发: < 在 html的转意字符 是 & l t ; (中间无空格)

从chinaren客服论坛上看到:
有些人
1.利用多彩留言插入html(会员,手机付费)
2.班级宣言插入html(管理员才行)
5月2日下午还是有效的!!!!!!!!!!!
看来chianren 对会员和管理员是 比较信任的
谁是会员可以继续研究研究
可惜我不是会员,到此为止了!!!

还有,chinaren客服论坛的斑竹
安全意识很差
纵容坛子里
有那么多利用插入html
实现非会员比会员更牛比(比如名字变彩色)的小技巧
还加精置顶呢

原来是转义字符啊，和C类似的语言都支持的，还有那个>的字符实体,他们这些都不过滤？？连动网都不如嘛，真差劲 除了

黑色海岸线 |联系我们 |论坛统计|Archiver

GMT+8, 2024-12-28 18:08, Processed in 0.054690 second(s), 5 queries, Gzip enabled.

Powered by Discuz! 7.2

© 2001-2009 Comsenz Inc.